使用GPResult工具检查应用了哪些gpo
GPResult.exe是一个控制台管理工具,用于分析和诊断应用于Active Directory域中的计算机和/或者用户的组策略设置。特别是,GPResult允许我们获取RSOP(策略的结果集)数据、应用的域策略(GPO)的列表、它们的设置以及GPO处理期间错误的详细信息。自Windows XP以来,此工具是Windows操作系统的一部分。GPResult工具允许我们回答这样的问题:特定策略是否适用于计算机、哪个GPO更改了特定的Windows设置以及如何解决GPO/GPP处理速度慢的问题?
在本文中,我们将研究使用GPResult命令诊断性能和调试ActiveDirectory域中的组策略的细微差别。
在早期的Windows版本中理科硕士图形控制台用于诊断客户端上组策略的应用程序,它允许我们以类似于GPO编辑器控制台的图形形式获取应用于计算机和用户的结果策略设置(域+本地)。这个理科硕士下面屏幕截图上的控制台显示Windows update设置是由WSUS服务器策略设置的。
但是理科硕士在现代Windows版本中使用控制台是不切实际的,因为它不显示由各种组策略扩展(客户端扩展–CSE)应用的设置,例如GPP(组策略首选项),不允许在设置之间搜索,缺少诊断信息(在Windows 10中甚至会出现警告与GPResult不同,RSOP似乎不提供完整的报告)。因此,GPResult命令现在是在Windows中执行GPO诊断的主要工具。
如何使用组策略结果(GPResult.exe)工具?
GPResult命令必须在要检查组策略应用程序的计算机上运行。GPResult命令具有以下语法:
GPRESULT [/S system [/U username [/P [password******** [/SCOPE scope** [/USER targetusername** [/R | /V | /Z** [(/X | /H) <filename> [/F****
要获取有关应用于用户或者计算机的组策略的详细信息,以及与GPO基础结构相关的其他参数(生成的GPO策略设置–RsoP),请运行以下命令:
Gpresult/r(结果/r)
此命令的结果分为两个部分:
COMPUTER SETTINGS-该部分包含应用于计算机的GP对象(作为activedirectory对象)的信息;
用户设置–这是用户策略部分(应用于AD用户帐户的策略)。
让我们简单介绍一下GPResult输出中我们感兴趣的基本设置/部分:
站点名称–是计算机所在的AD站点的名称;
CN——生成RSoP数据的完整规范用户/计算机名;
上次应用组策略的时间–是上次应用组策略的时间;
应用组策略的来源–是下载上一个GPO版本的域控制器名称;
域名和域名类型–是Active Directory域架构的名称和版本号;
应用的组策略对象–是应用的组策略对象的列表;
以下GPO未应用,因为它们已被筛选出来——是尚未应用或者已被筛选出的GPO;
用户是以下安全组的一部分——是用户所属的域组。
在本例中,我们可以看到4个组策略应用于用户对象。
禁用缓存凭据;
DNS搜索后缀列表;
启用Windows防火墙;
默认域策略。
如果不想同时显示有关用户和计算机策略的信息,可以使用*/scope*选项仅显示所需的部分。仅生成用户策略:
gpresult /r /scope:user
或者仅应用计算机策略:
gpresult /r /scope:computer
由于Gpresult工具将其数据直接显示到命令行,这并不总是便于进一步分析,因此可以将输出重定向到剪贴板:
Gpresult /r |clip
或者文本文件:
Gpresult /r > c:\ps\gpresult.txt
要显示超级详细的RSOP信息,我们需要添加/z键:
Gpresult /r /z
使用GPResult的RSoP HTML报表
GPResult还可以生成关于应用的结果策略的HTML报告(在windows7及更高版本中可用)。此报表包含有关由组策略设置的所有系统设置的详细信息以及已设置这些设置的某些GPO的名称(在其结构中,此报表类似于组策略管理控制台中的“设置”选项卡-gpmc.msc公司). 可以使用以下命令生成GPResult HTML报告:
GPResult /h c:\PS\gpo-report.html /f